V snahe ďalej zabezpečiť vývojárske účty a kód hostený na svojej platforme GitHub oznámil, že jeho používatelia sa budú musieť do konca budúceho roka zaregistrovať do dvojfaktorovej autentifikácie (2FA).
Konkrétnejšie, každý, kto prispieva kódom na platforme vlastnenej spoločnosťou Microsoft, bude musieť povoliť jednu alebo viacero foriem 2FA.
Podľa nového blog post od hlavného bezpečnostného riaditeľa GitHub Mikea Hanleyho, dodávateľský reťazec softvéru začína vývojármi a účty vývojárov sú často terčom sociálneho inžinierstva a prevzatia účtov. Ochranou vývojárov pred týmito typmi útokov podniká spoločnosť prvý a najdôležitejší krok k zabezpečeniu dodávateľského reťazca softvéru.
V budúcnosti GitHub plánuje preskúmať nové spôsoby bezpečnej autentifikácie svojich používateľov vrátane autentifikácie bez hesla. V skutočnosti len minulý rok spoločnosť pridala možnosť používať bezpečnostné kľúče na autentifikáciu ako súčasť svojho úsilia posunúť sa smerom k budúcnosti bez hesla.
Zabezpečenie dodávateľského reťazca softvéru
V novembri minulého roka sa GitHub zaviazal k novým investíciám do zabezpečenia účtu npm po prevzatí balíkov npm, ktoré bolo výsledkom kompromitovaných účtov vývojárov bez povolenej 2FA.
Hoci zraniteľnosti nultého dňa získavajú veľkú pozornosť online, za väčšinu porušení bezpečnosti sú v skutočnosti zodpovedné útoky s nižšími nákladmi, ako je sociálne inžinierstvo, krádeže poverení alebo úniky údajov.
Kompromitované účty na GitHub možno použiť na ukradnutie súkromného kódu alebo dokonca na vloženie škodlivých zmien do tohto kódu. Žiaľ, ohrození sú nielen jednotlivci a ich organizácie spojené s týmito napadnutými účtami, ale aj všetci používatelia ovplyvneného kódu.
Najlepšou obranou proti napadnutým používateľským účtom je posun nad rámec základnej autentifikácie založenej na hesle. Avšak iba 16.5 percenta všetkých aktívnych používateľov GitHub dnes a 6.44 percent používateľov npm používa jednu alebo viac foriem 2FA.
Používatelia GitHub majú dostatok času pripraviť sa na túto zmenu a spoločnosť nedávno spustila 2FA pre mobily GitHub na iOS a Android. Tí, ktorí majú záujem dozvedieť sa, ako nakonfigurovať GitHub Mobile 2FA, si môžu prečítať tento dokument podpory a začať.